Orange Cyberdefense最近發(fā)布的Security Navigator報告顯示，過去幾年針對工業(yè)控制系統(tǒng)(ICS)的攻擊迅速增加，其中大多數(shù)攻擊都是針對傳統(tǒng)IT系統(tǒng)攻擊的溢出。這個調(diào)查結(jié)果并不令人意外，因為新興的網(wǎng)絡風險管理方法正在導致OT和IT之間的日益融合。

盡管目前的調(diào)查數(shù)據(jù)表明大多數(shù)攻擊者并未專門針對工業(yè)系統(tǒng)(事實上，大多數(shù)所謂工控系統(tǒng)攻擊都是純粹的機會主義行為)，但這種趨勢隨時可能逆轉(zhuǎn)。隨著工控領域的攻擊工具和知識的普及，越來越多的犯罪分子開始嘗試工控系統(tǒng)攻擊，因為生產(chǎn)停頓往往意味著巨額損失(可以提高贖金額度和支付率)。因此，工控系統(tǒng)OT網(wǎng)絡的安全至關(guān)重要。

眾所周知，欺騙技術(shù)是提高威脅檢測和響應能力的有效方法，但在工控安全領域的應用仍面臨很多挑戰(zhàn)，因為工控系統(tǒng)安全在很多方面與傳統(tǒng)IT安全迥然不同，例如，兩者使用的協(xié)議存在根本差異。本文將詳細介紹欺騙技術(shù)從傳統(tǒng)IT轉(zhuǎn)移到工控系統(tǒng)的進展和挑戰(zhàn)。

欺騙的價值：奪回主動權(quán)

欺騙技術(shù)是一種能有效檢測惡意活動的主動安全防御方法。一方面，這種策略搭建了一個虛假信息構(gòu)成的模擬環(huán)境來誤導對手的判斷，使毫無戒心的攻擊者陷入陷阱，浪費時間和精力，增加了入侵的復雜性和不確定性。

同時，防御者可以利用欺騙技術(shù)收集更全面的攻擊日志，部署對策，追蹤攻擊者的來源并監(jiān)控其攻擊行為。記錄所有攻擊信息以研究攻擊者使用的策略、技術(shù)和程序(TTP)，這對安全分析師有很大幫助。

總之，欺騙技術(shù)可以幫助防御者奪回網(wǎng)絡安全攻防的主動權(quán)。

一些欺騙應用，例如蜜罐，可以模擬運行環(huán)境和配置，引誘攻擊者滲透虛假目標。通過這種方式，防御者將能夠獲取攻擊者投放的有效負載，并通過Web應用程序中的JavaScript獲取有關(guān)攻擊者主機甚至Web瀏覽器的信息。更重要的是，可以通過JSONP劫持了解攻擊者的社交媒體帳戶，并通過“蜂蜜文件”反擊攻擊者?？梢灶A見，未來幾年欺騙技術(shù)將會更加成熟并得到廣泛應用。

欺騙技術(shù)在工控安全領域嶄露頭角

近年來，信息技術(shù)與工業(yè)生產(chǎn)融合加速，工業(yè)互聯(lián)網(wǎng)、智能制造飛速發(fā)展。海量工業(yè)網(wǎng)絡和設備與IT技術(shù)的連接必然導致該領域的安全風險不斷增加。

勒索軟件、數(shù)據(jù)泄露、高級持續(xù)性威脅等安全事件頻發(fā)，嚴重影響工業(yè)企業(yè)生產(chǎn)經(jīng)營，威脅數(shù)字社會安全。一般來說，這些系統(tǒng)由于其簡單的架構(gòu)、內(nèi)存和處理性能較低而容易被攻擊者利用。

與此同時，保護工控系統(tǒng)免受惡意攻擊頗具挑戰(zhàn)性，因為工控系統(tǒng)ICS組件往往架構(gòu)簡單，難以進行更新或安裝補丁，安裝端點保護代理通常也不可行。考慮到這些挑戰(zhàn)，欺騙技術(shù)有望成為工控安全的重要方法之一。

隨著網(wǎng)絡安全技術(shù)的發(fā)展，欺騙已廣泛應用于網(wǎng)絡、數(shù)據(jù)庫、移動應用程序和物聯(lián)網(wǎng)等各種環(huán)境中，在OT領域，欺騙技術(shù)也在一些ICS蜜罐應用中嶄露頭角。例如，Conpot、XPOT、CryPLH等ICS蜜罐可以模擬Modbus、S7、IEC-104、DNP3等協(xié)議。

以下我們簡要介紹三個工控安全領域有代表性的欺騙技術(shù)應用：

1.Conpot是一款開源低交互蜜罐，支持各種工業(yè)協(xié)議，包括IEC60870-5-104、樓宇自動化和控制網(wǎng)絡(BACnet)、Modbus、s7comm以及HTTP、SNMP和TFTP等其他協(xié)議。Conpot易于部署、修改和擴展，因此，Conpot和基于Conpot的蜜罐是研究人員使用的最流行的ICS欺騙應用程序之一。

2.XPOT是一個基于軟件的高交互PLC蜜罐。XPOT模擬西門子S7-300系列PLC，并允許攻擊者編譯、解釋PLC程序并將其加載到XPOT上。XPOT支持S7comm和SNMP協(xié)議，是第一個高交互性的PLC蜜罐。由于它是基于軟件的，因此具有很強的可擴展性，并且支持大型誘餌或傳感器網(wǎng)絡。XPOT可以連接到模擬的工業(yè)流程，以使對手的經(jīng)驗更加全面。

3.CryPLH是一款模擬西門子SimaticS7-300PLC的高交互性虛擬智能電網(wǎng)ICS蜜罐。它在基于Linux的主機上運行，并使用MiniWebHTTP服務器來模擬HTTP(S)、使用Python腳本來模擬Step7ISO-TSAP協(xié)議以及自定義SNMP實現(xiàn)。CryPLH的交互能力從模擬ICS協(xié)議到ICS環(huán)境逐漸增強。

上述蜜罐應用這樣的欺騙技術(shù)可以彌補未知威脅檢測效率低下的問題，對于保障工控網(wǎng)絡安全可發(fā)揮重要作用，例如：

● 幫助檢測針對工業(yè)控制系統(tǒng)的網(wǎng)絡攻擊并展示總體風險趨勢;

● 發(fā)現(xiàn)攻擊者利用的OT漏洞并將其發(fā)送給安全分析師，以便及時提供補丁和情報;

● 可以在勒索軟件爆發(fā)之前及時發(fā)出警報，避免大規(guī)模損失和生產(chǎn)停頓。

工控系統(tǒng)欺騙技術(shù)面臨的挑戰(zhàn)

欺騙技術(shù)并非工控安全的“萬靈藥”。與傳統(tǒng)IT安全中復雜的欺騙技術(shù)相比，工控系統(tǒng)中的欺騙技術(shù)仍然面臨一些挑戰(zhàn)：

首先，工業(yè)控制設備和協(xié)議種類繁多，而且許多協(xié)議是專有的。幾乎不可能有一種欺騙技術(shù)可以應用于所有的工業(yè)控制設備。因此，蜜罐等應用往往需要定制來模擬不同的協(xié)議，這給某些環(huán)境下的實現(xiàn)帶來了較高的門檻。

其次，純虛擬工控蜜罐的模擬能力仍然有限，容易被黑客識別。目前純虛擬ICS蜜罐的開發(fā)和應用僅允許底層模擬工業(yè)控制協(xié)議，并且大多數(shù)已經(jīng)開源，可以直接通過Shodan或Zoomeye等搜索引擎找到。收集足夠的攻擊數(shù)據(jù)并提高ICS蜜罐的模擬能力對于安全研究人員來說仍然是一個挑戰(zhàn)。

最后，高交互工控蜜罐消耗大量資源，維護成本高。顯然，蜜罐往往需要引入物理系統(tǒng)或設備來構(gòu)建真實運行的模擬環(huán)境。然而，工業(yè)控制系統(tǒng)和設備成本高昂、難以重復使用且維護困難。即使看似相似的ICS設備在功能、協(xié)議和指令方面也往往非常不同。

欺騙技術(shù)在工控安全領域的價值

基于以上討論，工控系統(tǒng)欺騙技術(shù)應考慮與新技術(shù)相結(jié)合，提高模擬真實環(huán)境并與之交互的能力來增強防御技術(shù)。此外，欺騙技術(shù)捕獲的攻擊日志具有很高的價值，這些日志數(shù)據(jù)通過人工智能或大數(shù)據(jù)工具進行分析后有助于深入了解工控系統(tǒng)的現(xiàn)場情報。

綜上所述，欺騙技術(shù)對于工控系統(tǒng)網(wǎng)絡安全的快速發(fā)展、提高其智能化和防御能力發(fā)揮著至關(guān)重要的作用，但目前該技術(shù)仍面臨挑戰(zhàn)，亟待突破。

來源：GoUpSec